08 diciembre 2011

Democracia 2.0 [offtopic]

Las circunstancias económicas de estos tiempos y la respuesta dada por la clase política, más preocupados por ellos mismos que por los que los votamos, aderezado por el movimiento 15-m, me ha hecho reflexionar sobre lo poco representado que me siento por los dirigentes políticos.

Me ha dado por pensar: ¿Habrá alguna otra forma de organizarnos? ¿Son los partidos políticos la mejor opción? ¿Es la democracia la mejor opción?

En el proceso reflexivo, se me han pasado muchas ideas por la mente: Intervención del sector financiero estilo economía planificada, listas abiertas, pasar de los partidos políticos y de la democracia... y otras locuras varias.

Al final, la conclusión de mis reflexiones es algo que he llamado 'Democracia 2.0' que, básicamente, consistiría en la democratización de la democracia gracias a Internet.

Me voy a tratar de explicar. En mi opinión, la cuestión es que, hasta la aparición de Internet, la democracia necesitaba mecanismos de representación porque no existía una forma sencilla de comunicación que permitiera a los ciudadanos hablar, debatir sobre los aspectos que les preocupaban y expresar su opinión. Hacían falta unos intermediarios, unos vehículos que canalizaran las opiniones de los ciudadanos, y es ahí donde surgen los partidos políticos.

Pero Internet, la Web y las redes sociales han cambiado el escenario. En el momento actual, podríamos decir que es cuestionable la necesidad de todos aquellos que hasta ahora funcionaban como "simples" intermediarios de información. De igual forma que los medios de comunicación o las agencias de viaje están intentando vislumbrar como será su futuro o si tienen futuro puesto que las redes sociales han demostrado su capacidad para actuar como nexo entre los emisores de las noticias y los destinatarios o la Web sirve perfectamente para planear unas vacaciones, los partidos políticos tendrían que pensar si tienen futuro.

Es decir, ¿para qué necesito unos partidos políticos que actúen como el "teléfono escacharrao" entre sus votantes y los órganos de Gobierno? ¿Por qué tengo que "casarme" con un programa político cerrado si me pueden gustar unas medidas de unos y otras de otros? ¿Por qué tenemos que sufragar los costes de mantenimiento de los aparatos de los partidos o las campañas electorales?

En definitiva, ¿para qué necesitamos a los partidos políticos si gracias a Internet  todos los ciudadanos podemos expresar nuestra opinión sobre cualquier tema en cualquier momento? ¿No podríamos funcionar con unos gestores que se limitaran a ejecutar las instrucciones que recibieran de la ciudadanía en su conjunto mediante mecanismos de votación on line? Al fin y al cabo sería como sustituir el Congreso de los Diputados por un 'Congreso de los Ciudadanos' donde en lugar de inferir la opinión de toda la ciudadanía a través de los votos de unos cuantos, se podría tener la opinión en directo de los ciudadanos.

No cabe duda que esta vía tendría grandes retos por delante: seguridad de los sistemas de votación, usurpaciones de identidad, difusión del eDNI, mecanismos para disponer de información suficiente para la toma de decisiones [¿OpenGovernment?] y un largo etcétera, pero, en mi opinión, si este sistema se implantara, estaríamos hablando del sistema democrático más puro posible donde los ciudadanos harían oír su voz de manera continua, no una vez cada cuatro años.

En fin, perdonad por la reflexión totalmente offtopic de la temática de este blog, pero llevaba tiempo dando vueltas y me apetecía compartirla con los que leéis este blog.

Puedes seguirme en twitter.com/antonio_ramosga

05 diciembre 2011

España y la ciberguerra

El objetivo de esta entrada es reflexionar sobre las declaraciones de uno de los responsables del CCN-CERT que han causado cierto revuelo estos días de atrás.

Vaya por delante mi más sincero respeto a la labor de los miembros de nuestras fuerzas y cuerpos de seguridad y, en particular, la del CCN-CERT.

No pude estar en Valencia y, por tanto, voy a opinar en función de lo que se ha escrito en los medios de comunicación sobre el tema (en concreto, aquí y aquí).

En general, tengo que reconocer que estoy de acuerdo con la opinión que ha expresado Lorenzo en Security by Default, es decir, hay que INVERTIR en seguridad, pero eso de "pasar al ataque" suena un poco heavy.

Como no pude estar, voy a hablar en función de la información que tengo, pero en cualquier caso, no tengo al CCN como un organismo dado a irse de la lengua. Es decir, creo que dicen lo que quieren decir y que, cuando lo dicen, es por algún motivo.

De hecho, hay que poner en contexto las declaraciones. El evento tiene lugar el día 24 de noviembre:
  • Cuatro días después de las Elecciones Generales y en pleno período de agitación interna en la Administración Pública en previsión de los cambios que se ven venir y donde todo el mundo está haciendo sus movimientos para quedar lo mejor posible en la nueva foto.
  • Una semana antes de la reunión del G6 en París en la que participó también la Secretaria Napolitano del DHS americano.
Por tanto, en mi opinión, todo responde a una maniobra perfectamente organizada para reclamar lo que todos llevamos diciendo mucho tiempo: "Hay que INVERTIR en seguridad". Lo que ocurre es que, si decimos esto simplemente, todos sabemos que no va a ir a ningún titular de ningún medio de prensa, por lo tanto, para asegurarnos de que el mensaje llega, es necesario poner algunos fuegos artificiales y es ahí donde tiene su encuadre lo de "pasar al ataque".

Para mi, cuando el CCN dice esto, lo que nos está diciendo [o mejor dicho, lo que está diciendo a los que acaban de llegar al Gobierno] es: "Señores, estamos sufriendo ataques todos los días y con los medios y recursos de los que disponemos es cuestión de tiempo que consigan el objetivo. Debemos ser proactivos; tenemos que dotarnos de herramientas y profesionales que puedan actuar en el ciberespacio".

Ahora bien, dicho esto, en lo que no estoy de acuerdo es en lo de "contando con el sector privado". Es decir, si por contar con el sector privado se entiende fomentar el desarrollo de una industria de seguridad puntera en el mundo, me parece perfecto. Si por el contrario, lo que entendemos es que vamos a subcontratar la defensa de nuestra nación en empresas privadas, me temo que no puedo estar de acuerdo. A mi juicio esta labor corresponde a nuestro ejército y no veo a nuestro ejército subcontratando la misión de Afganistán... es decir, al igual que en lo concerniente a Tierra, Mar o Aire, nadie se plantea la subcontratación, tampoco deberíamos plantearlo en el ciberespacio (si se le puede llamar así).

Para mi gusto, veo mucho mejor iniciativas como la de la agencia de inteligencia  GCHQ británica para contratar profesionales de seguridad.

En definitiva, que fuegos artificiales aparte, veo bien que se reclame mayor atención para la seguridad de la información y la ciberseguridad por parte de los gobernantes, aunque preferiría que se hiciera directamente por nuestro Ejército.

... Puedes seguirme en twitter.com/antonio_ramosga



28 noviembre 2011

Risk and Agility (II)


[Esta entrada ha sido redactada conjuntamente con Mario López de ÁvilanodosCTC aka @nodosenlared]

En la entrada anterior vimos que los enfoques 'Priorizar - Reducir' basados en nuestras capacidades predictivas presentaban algunos problemas a la hora de manejarnos en entornos que no fueran simples y conocidos.
Por si eso fuera poco, aunque lográramos identificar las amenazas que nos deben preocupar, el enfoque ‘Priorizar – Reducir’ depende de estimaciones precisas de probabilidades e impactos. Pero hay una montaña de evidencias, experimentales y empíricas, que refuerzan la hipótesis de que los seres humanos somos notablemente incompetentes a la hora de realizar este tipo de estimaciones, especialmente en situaciones complejas e inciertas. El hecho de que podamos asignar un número a una probabilidad no significa que la tengamos bien determinada. De hecho, esta forma de actuar tiende a engendrar en las personas una confianza excesiva, infundamentada, en sus propios cálculos. Nuestra mente, fruto de la evolución natural, es literalmente una chapuza. Hay multitud de ‘atajos’ que utilizamos constantemente a la hora de evaluar nuestro entorno y tomar decisiones que nos llevan a equivocarnos una y otra vez al estimar una probabilidad o tratar de determinar la magnitud de las consecuencias de un evento. Sesgos cognitivos como el sesgo de disponibilidad o de anclaje nos inducen a error de manera sistemática y difícil de evitar.
Por último y de forma paradójica, en entornos impredecibles, los planes que formulamos, los mismos que deberían protegernos reduciendo los principales riesgos y/o minimizando el daño que nos pueden causar, pueden llegar a ser parte del problema. Algunos autores, como Mintzberg[1] o Klein[2], han señalado que la planificación de riesgos reduce el compromiso de las personas en una organización con un estado de alerta imprescindible en situaciones de gran incertidumbre. Una vez que el plan se ha aprobado e implantado, los gestores en la organización se “relajan”, porque se sienten protegidos. Los planes centran tu atención en lo que eres capaz de predecir, haciendo más fácil pasar por alto lo desconocido e imprevisible. Los planes resisten el paso del tiempo mejor que las capacidades reales de la organización, por lo que quedan obsoletos mucho antes de lo que se suele creer. Además, las medidas adoptadas reducen. por lo general. la flexibilidad organizativa. Una organización menos flexible es menos capaz de adaptarse a un suceso imprevisto, reacciona más tarde y a menudo de manera menos eficaz. Es menos robusta.
En resumen, los enfoques tradicionales de riesgos nos hacen confiarnos en exceso en situaciones complejas e inciertas y en la mayor parte de los casos reducen la capacidad del equipo o de la organización para manejar los riesgos. En ámbitos complejos, no podemos hablar de mejores prácticas o siquiera de buenas prácticas. Cuando no hay relación evidente entre causas y efectos y sólo podemos avanzar prestando atención a los patrones emergentes, mediante ensayo y error, el enfoque acertado para la gestión de riesgos es el que denominamos ‘Adaptativo’. De acuerdo con este enfoque, en situaciones inciertas deberíamos apoyarnos menos en priorizar y reducir riesgos y más en estar preparados para responder a eventos inesperados, reconfigurando procesos y estructuras sobre la marcha para adaptarse a la situación.
En nuestra opinión, podemos aprender mucho de los enfoques Agile utilizados en actividades como el desarrollo de software o de productos complejos. Los valores, principios y prácticas ágiles, de forma natural, nos llevan a minimizar los riesgos inherentes en proyectos ‘inciertos’, pero no sólo eso. También contribuyen a aumentar la capacidad para lidiar con perturbaciones e impactos imprevistos, así como a gestionar dicha capacidad. Una organización ágil es una organización ‘resiliente’, capaz de ajustar su funcionamiento antes, durante o después de haber experimentado una cambio, de modo que su comportamiento apenas se vea afectado. La resiliencia se refiere pues a algo que el sistema ‘hace’ [una capacidad o un proceso], más que a algo que el sistema ‘posee’.
Los enfoques Agile ayudan a crear y mantener la resiliencia de un equipo o de una organización facilitando el conocimiento de la situación, permitiendo compararla en cualquier momento con la situación deseada y proporcionando los medios para realizar los ajustes necesarios para corregir cualquier desviación del rumbo. Y todo esto se hace prácticamente en ‘tiempo real’.
En nuestra opinión, es momento de cambiar nuestra manera de proceder: En lugar de enfocarnos en construir fortalezas inexpugnables, deberíamos enfocarnos en ser capaces de responder en situaciones impredecibles.


[1] Mintzberg on Management by Henry Mintzberg (Paperback - Aug 21, 2007)
Management? It's Not What You Think! by Henry Mintzberg, Bruce Ahlstrand and Joseph Lampel (Hardcover - Sep 15, 2010
[2] Streetlights and Shadows: Searching for the Keys to Adaptive Decision Making by Gary A. Klein (Sep 30, 2011)
The Power of Intuition: How to Use Your Gut Feelings to Make Better Decisions at Work by Gary Klein (Paperback - Jun 1, 2004)



24 noviembre 2011

Risk and agility (I)

[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]


Abstract
En ámbitos complejos, caracterizados [entre otras cosas] por una incertidumbre elevada, la gestión de riesgos tradicional, con enfoques predictivos, es no sólo inefectiva, sino hasta peligrosa para los equipos y organizaciones que la emplean. Basamos esta afirmación en evidencias científicas procedentes de disciplinas como la Behavioral Economics o la Psicología Cognitiva, además de en muchos años de experiencia y muchos análisis de riesgos realizados. En este tipo de situaciones, los enfoques más efectivos son los denominados adaptativos, que permiten el desarrollo en el sistema de una cualidad que denominamos ‘Resiliencia’. La resiliencia se puede definir como la capacidad de un sistema para ‘absorber’ perturbaciones y adaptarse de modo que su función, estructura e identidad permanecen esencialmente intactos. Dicho de otra manera, los enfoques adaptativos contribuyen al desarrollo de sistemas más robustos, capaces de manejar mejor los impactos que reciben y sus consecuencias.
Los equipos y organizaciones que se mueven en ámbitos complejos deben adoptar prácticas que les ayuden a ser más ‘resilientes’, esto es, que les preparen para detectar de forma temprana, atajar y minimizar cualquier riesgo que se les presente, así como para recuperarse en el menor tiempo posible, al menor coste posible, de cualquier impacto negativo y, por último, para convertir cualquier contratiempo en una fuente de nuevas oportunidades. Un ejemplo de este tipo de enfoques, empleados con espectacular éxito en el ámbito del desarrollo del software y, en general, de la gestión del desarrollo de productos complejos, son las denominadas metodologías Agile, como puedan ser Scrum, Extremme Programming o Crystal. En nuestra opinión, la Seguridad de la Información puede verse beneficiada del estudio y adaptación de estas y similares metodologías, así como de los valores y principios que las inspiran.

Artículo
Cualquiera de nosotros podría citar de memoria, con tan sólo variaciones de menor entidad, cuáles son los pasos básicos en una gestión efectiva de los riesgos. En primer lugar, es necesario identificar de manera sistemática las amenazas que pudieran afectar a nuestro proyecto u organización. A continuación, trataremos de establecer un orden o prioridad en esas amenazas identificadas, centrando nuestra atención en aquellas más preocupantes. Este paso normalmente implica estimar la probabilidad de ocurrencia así como la magnitud de las consecuencias o impacto de cada uno de las amenazas identificadas. De esta manera, podemos determinar qué amenazas llevan implícita un mayor nivel de riesgo. Para dar respuesta a esos riesgos desarrollaremos planes para reducir los de mayor gravedad y/o minimizar el daño potencial. Estos planes pueden llegar a ser muy detallados, establecer hitos con los que podemos medir nuestro progreso, así como establecer indicadores que nos alertarán de cualquier peligro inminente. Por supuesto. el plan por sí solo no nos ayudará, debe ser correctamente implantado. Por último, es necesario hacer un seguimiento cercano de las actividades recogidas en el plan, para comprobar si éste está siendo efectivo. Si algo empieza a ir mal, aumentaremos la vigilancia. Y si aparecen nuevos riesgos, volveremos a empezar el ciclo.
Estamos tan acostumbrados a trabajar de esta manera que rara vez nos paramos a pensar que éste es solo uno de los posibles enfoques desarrollados por la humanidad para manejar el Riesgo. Llamamos a este enfoque ‘Priorizar – Reducir’, puesto que estas son las actividades clave en el proceso. Este es un enfoque que ha dado buenos frutos durante décadas en ámbitos tan distintos, como la seguridad en construcción y obra civil, como en entornos industriales. Es también el enfoque imperante en Seguridad de la Información hoy en día, ejemplarizado en instrumentos tales como el Software Risk Evaluation (SER) v2.0 del Software Engineering Institute o la familia de normas ISO/IEC 2700x. Ahora bien, ‘Priorizar – Reducir’ sólo puede ser efectivo si se dan determinadas circunstancias. En primer lugar, debemos ser capaces de identificar todas las amenazas. Puede parecer obvio, pero esto no es tan fácil si te mueves en un ámbito tan complejo y dinámico como el de las tecnologías de la información. Con cada avance técnico surgen nuevas amenazas y el ritmo de la innovación, especialmente en la última década, es sencillamente asombroso. Nos quedamos sin referencias: los registros, el histórico de incidentes, pierde rápidamente su utilidad y continuamente nos enfrentamos a amenazas que no sólo no preveíamos, sino que tan sólo unos meses atrás eramos incapaces de imaginar. De hecho, cuando analizas proyectos fallidos, los elementos de riesgo más devastadores resultan ser a menudo cosas en las que nadie pensaba o podía imaginar.
Lo cierto es que ‘Priorizar – Reducir’ tiene sentido, sobre todo, cuando nos movemos en ámbitos conocidos, poco complicados o simples, pero cuando debemos abordar un proyecto o trabajar un sistema en el que no hemos trabajado nunca, del que no existen experiencias previas, ¿cómo es de esperar que sea nuestro desempeño al tratar de anticipar todos los riesgos? La respuesta es que nuestro desempeño será, en el mejor de los casos, muy pobre. Hay multitud de experiencias que demuestran una y otra vez que haríamos bien en desechar la ilusión de que podemos identificar riesgos en condiciones de novedad, complejidad y dinamismo. No podemos ver el futuro, no podemos prever o identificar riesgos y no podemos manejar lo que no podemos ver o comprender. Es más, los trucos que hemos ido desarrollando a partir de nuestra experiencia pasada probablemente sirvan de poco en el futuro cercano.

(continuará)

22 octubre 2011

Mi propuesta para los candidatos a Presidente del Gobierno

Como los partidos políticos están en época de hacer propuestas para ganar nuestros votos, se me ha ocurrido hacer mi carta a los Reyes Magos para ver si convenzo a Rajoy y/o a Rubalcaba (que parecen los más adelantados en la carrera) para que incluyan algunas promesas en sus programas electorales.

Básicamente mi carta tiene una sola petición pero que tiene unas cuantas consecuencias en forma de leyes que habrá que modificar. Mi petición es muy sencilla:
Equiparar la seguridad de los sistemas de información a la seguridad patrimonial
Seguramente a muchos puede parecerles una tontería pero, sinceramente, creo que, como sociedad moderna, nuestra prosperidad y nuestro futuro depende de que la seguridad en el mundo online tenga el mismo tratamiento que tiene la seguridad en el mundo "real" partiendo del supuesto de que, en el futuro, las mayores amenazas vendrán del mundo ciber.

Y con esto no quiero que nadie piense que estoy pensando en una Internet super-regulada y vigilada, sino que en los mecanismos de gestión y las leyes existentes se adecuen al siglo XXI.

Voy a tratar de dar algunos ejemplos:


Reforma de la Ley de Seguridad Privada
Tenemos una Ley que establece un marco de control para las empresas que proporcionan servicios de seguridad privada e incluso una capacitación mínima para los "vigilantes" de seguridad. Y, por otra parte, "cualquiera" puede proveer de servicios de seguridad informática.

Reforma de la Ley de Protección Civil

En este caso nos encontramos con una Ley que persigue proteger a personas y bienes en situaciones de grave riesgo colectivo y que en su vertiente de previsión y prevención exige la elaboración de planes de protección pero que, actualmente, no considera en estos aspectos los sistemas de información cuando, en el momento actual, fallos de sistemas pueden ocasionar verdaderas situaciones de crisis [ya lo habías comentado antes aquí].

Facilitar la gestión de riesgos de seguridad al estilo de los riesgos laborales
Es indudable que, aunque forman más del 95% del tejido empresarial español, las PYMEs son un "problema" a la hora de implantar este tipo de políticas, ya sea por un tema de recursos, de capacidad o de disposición.
Por este motivo, podría adoptarse una decisión al estilo de lo desarrollado para la gestión de riesgos laborales, haciendo que las pequeñas empresas puedan hacer uso de un servicio gratuito proporcionado por la Administración [de hecho, en mi opinión, este servicio ya se ha creado y lo proporciona el CERT de INTECO].

Servicios en la nube regulados
Los servicios en la nube, en particular los de infraestructura (IaaS) y los de plataforma (PaaS), son la electricidad del siglo XXI y, en este sentido, necesitan de un entorno normativo en el que se puedan proveer en las mismas condiciones de garantía que la primera.
A diferencia de los puntos anteriores, este aspecto es totalmente innovador y seguramente necesitará de un tratamiento a nivel europeo pero, quien sabe, quizás sea la manera de hacer España puntera en estos aspectos.

Seguramente no son los únicos aspectos a modificar, pero es un principio. ¿Se os ocurren más ejemplos?

Puedes seguirme en twitter.com/antonio_ramosga

18 octubre 2011

Jornadas Técnicas 2011 de ISACA Madrid

Es cierto, llevo missing unas cuantas semanas, soy culpable.

Pero prometo que no he estado de vacaciones. De hecho, me gustaría comentar que una de las actividades a las que he estado dedicado con bastante profundidad este tiempo: las Jornadas Técnicas 2011 de ISACA Madrid.

Este año, como novedad, las organizamos junto a otra asociación, el itSMF España que, por fortuna nos ha posibilitado organizar unas mejores jornadas, con muchos más medios y más recursos que ISACA Madrid en solitario. Estoy convencido de que es una unión muy interesante y el congreso que ha resultado, itgsmVISION11, va a ser de gran interés para una gran pluralidad de profesionales y va a generar unas posibilidades de networking sin precedentes en el sector.

El kif de la cuestión ha sido abordar esa colaboración sin perder la singularidad de nuestros asociados que esperan atender a unas jornadas donde se hable de auditoría de sistemas de información, de gestión de la seguridad, de control de riesgos y, por supuesto, de gobierno de las TIC, sin olvidar otros aspectos como el cumplimiento normativo y las nuevas legislaciones.

Para ello, los que hemos estado involucrados en la organización de las Jornadas confiamos en haber preparado un cocktail de interés:
  • Desde ISACA HQ, Derek J. Oliver nos avanzará todo lo que hay que saber sobre el nuevo Process Assessment Model y COBIT5.
  • Jesús Bermejo, de BANKIA, nos hablará sobre la experiencia de fusión tecnológica de 7 entidades financieras.
  • Elena Maestre (PwC) y Tomás Martín (CNPIC) nos contarán las implicaciones de la nueva Ley para la Protección de las Infraestructuras Críticas sobre las funciones de auditoría y seguridad.
  • Javier Berciano (INTECO-CERT), reflexionará, desde el conocimiento, sobre mejores prácticas y consejos para la gestión de incidentes.
  • Sobre gobierno de las TIC, tendremos dos aportaciones. Por un lado, Miguel García (AtoS) y la Comisión de Gobierno del capítulo informaran de sus avances y de las opciones de integrar el gobierno empresarial y el de las TIC.
  • Ramiro Mirones (Ernst&Young) nos demostrará que la auditoría continua es posible explicando algunas experiencias prácticas.
  • El primer día finalizará con Mario López de Ávila (nodos), profesor del IE, nos invita a reflexionar sobre la posibilidad de que dos conceptos aparentemente incompatibles como la agilidad y el riesgo, en realidad, no lo son tanto.
  • Luís Carro (Deloitte) comenzará el segundo día con una reflexión sobre las soluciones GRC y su aplicación en el entorno corporativo.
  • Finalmente, una mesa de debate entre CIOs, cerrará las Jornadas.



Lo mencionado aquí solo es una pequeña parte de las ponencias que habrá en el Congreso, solo os he mencionado las que hemos coordinado desde ISACA Madrid, pero podéis ver todo el detalle aquí.

Así que, después de todo este esfuerzo, espero veros los próximos 24 y 25 de octubre en el Hotel Holiday Inn.

... puedes seguirme en twitter.com/antonio_ramosga

27 julio 2011

Oslo, ¿un suceso evitable?

Imagen aérea de Utoya

Han pasado ya cinco días desde los desgraciados sucesos de Noruega y no salgo todavía de mi asombro de cómo puede ser que un ser humano haya infligido tanto dolor, no solo a otros seres humanos, sino a sus propios compatriotas y, además, jóvenes que no habían tenido tiempo casi de despertar a la vida...


Escribo esta entrada porque me gustaría compartir las tres o cuatro ideas que no se me van de la cabeza en relación a estos tremendos sucesos.


¿Se podría haber evitado?
Bueno, probablemente sí... ahora que sabemos lo que ha pasado seguro que somos capaces de identificar eventos, sucesos que deberían haber hecho disparar alguna alarma. Aunque no es menos cierto, como siempre recalca B.Schneier, que "los puntos son más fáciles de conectar después de los sucesos pero antes es prácticamente imposible": ¿No se controlan los elementos que permiten construir un artefacto explosivo?, ¿no se registran las adquisiciones de abono que pueden utilizarse para fabricar bombas? ¿no se...?


La pregunta que debiéramos hacernos sería, ¿qué precio deberíamos pagar para evitar sucesos tan extraordinarios? Hago esta pregunta porque utilizando modelos como el de zero trust (confianza cero - propuesto por un analista de Forrester), para evitar este tipo de eventos hemos de registrar y analizar la actividad de todos los individuos para detectar comportamientos "anómalos"... es decir, la aplicación de este modelo nos llevaría a un modelo de Estado - Gran Hermano que registra y controla la actividad de todos sus ciudadanos, vamos que, adiós a nuestra libertad. Sinceramente, no lo veo.


Otra vez, un cisne negro
Efectivamente, ¿quién, en su sano juicio, se iba a imaginar que algo como lo ocurrido podía suceder? Al margen de que la situación en Noruega fuera o no excesivamente relajada [yo no voy a entrar a valorarlo], si alguien hubiera dibujado este escenario y hubiera defendido que era necesario prevenirlo, o lo habrían despedido, o habrían desechado su protección por la baja probabilidad de ocurrencia.


Entonces, ¿qué podemos hacer para prevenir los cisnes negros? Bueno, me temo que no podemos predecir el futuro. Si hacemos caso al bueno de Taleb, solo nos queda "centrarnos en las consecuencias, no desperdiciar esfuerzos en tratar de estimar la probabilidad, y prepararnos para la siempre brusca aparición de un cisne negro". Es decir, ¿no estamos hablando de resiliencia?


Los insiders son los peores
Sabemos desde hace mucho tiempo que la mayor parte de los incidentes son originados por los usuarios internos, pero sucesos como los ocurridos nos lo enseñan de la manera más cruda posible.


Si sabemos que esto es así, ¿por qué no dedicamos más esfuerzos a concienciar a nuestros usuarios? ¿por qué seguimos invirtiendo en herramientas y descuidamos a los usuarios? Quiero decir, ¿cómo pretendemos evitar la fuga de información con herramientas informáticas cuando tenemos dentro de nuestra organización una masa laborar profundamente descontenta y totalmente desalineada con los objetivos de nuestra organización? [me temo que si quieren, van a encontrar la forma de saltarse las medidas]. En realidad, creo que conozco la respuesta: No queremos o no sabemos (o no nos interesa) invertir de verdad en las personas; el esfuerzo es mucho mayor en orden de magnitud que si instalamos una nueva herramienta.


¿No hay otra forma de enfocar el problema?
Creo que hay evolucionar en esto de la gestión de la seguridad... Hay demasiados indicadores que nos están empujando irremediablemente:

  • La realidad es, cada vez, más compleja.
  • El enfoque preventivo y basado en el cálculo de la probabilidad nos está dando demasiados disgustos.
  • Los individuos siguen siendo el eslabón más débil [el factor limitante, para los frikis de TOC].
En fin, necesitaba compartir lo que me bullía en la cabeza...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

18 julio 2011

Estrategia Española de Seguridad. Un análisis ciber

Hace unos días se publicó la denominada "Estrategia Española de Seguridad. Una responsabilidad de todos" (pdf) como resultado del trabajo de un grupo liderado por Javier Solana (del que ya hemos hablado en algún momento aquí).

En mi opinión, un documento de obligada lectura (no llega a 100 páginas) para todos aquellos que, de una forma u otra, participamos de la industria de la seguridad, en su sentido más amplio. Más aún considerando el subtítulo del documento: Una responsabilidad de todos.

Sin lugar a dudas, es un documento que toca todos los palos y que dibuja una imagen del escenario actual muy acertada y que, sobre todo, nos centra en un contexto mundial que no podemos obviar en este tipo de análisis.


Dado su interés, me ha parecido oportuno realizar un pequeño análisis y destacaros lo que me ha parecido más interesante, desde mi perspectiva personal de seguridad tecnológica, o como podríamos denominarla, "ciber":

  • Se deja claro desde el principio que estamos hablando de un asunto en el que todos tenemos alguna responsabilidad. Aunque es algo que, más o menos, los profesionales de la seguridad tenemos claro, es importante que se deje claro desde el principio que la seguridad depende del eslabón más débil y que, dado el nivel de dependencia y de interconexión entre todos los actores sociales, los unos dependemos de los otros y al revés.
  • Se recalca el hecho de que es necesario un enfoque integral para poder afrontar los retos que nos presenta la seguridad. E integral en distintas dimensiones, en cuanto a los territorios y también, claro está en cuanto a los ámbitos de aplicación (es decir, que es necesario ahondar en la vía de colaboración entre las seguridades "lógica" y "física").
  • Se identifican 6 principios básicos: Enfoque integral, coordinación, eficiencia, anticipación y prevención, resistencia y recuperación e interdependencia responsable.
  • Se reconoce al ciberespacio como un ámbito más en el que hay que actuar y las ciberamenazas como uno de los riesgos principales, en línea con las estrategias de defensa de las naciones más avanzadas.
  • Para mejorar la seguridad en el ciberespacio se proponen como líneas de actuación: Fortalecer la legislación, reforzar la capacidad de resistencia y recuperación de las infraestructuras críticas (esto me suena a resiliencia) y fomentar la colaboración público-privada.
  • Finalmente, para su implantación propone nuevos órganos a crear en la Administración Pública. Concretamente, la creación de un Consejo Español de Seguridad, una Unidad de Apoyo en el Gabinete de la Presidencia del Gobierno y un Foro Social de Expertos como órgano consultivo.

Una vez comentados los aspectos relevantes, también querría daros mi opinión sobre algunos aspectos:
  1. Me gusta el enfoque de "estar preparados para lo imprevisible", es decir, asumir los cisnes negros como habíamos comentado ya por aquí (esto se traduce en trabajar en la resiliencia de nuestros sistemas).
  2. En cierta forma, parece adoptar también el manifiesto agile cuando dice "esta era de incertidumbre es también un tiempo de grandes oportunidades, si entre todos sabemos gestionarlas. [...] debemos afrontar el cambio con confianza, responsabilidad y eficacia".
  3. Estoy de acuerdo en el enfoque de coordinar a los distintos agentes sociales para aumentar la eficiencia de las inversiones en seguridad [espero que sirva para evitar despilfarros como, por ejemplo, el de los 18 sistemas sanitarios distintos existentes en la actualidad].
  4. Creo que la concienciación de la Sociedad es uno de los aspectos fundamentales para mejorar el nivel de seguridad y asegurar el éxito de la estrategia. Quizás este aspecto podría ser uno de los primeros en los que trabajar en la coordinación de los distintos agentes y mejorar la eficiencia en el uso de los recursos porque existen multitud de iniciativas inconnexas trabajando en este sentido. En cualquier caso, la coordinación no significa que alguien tenga el papel dominante, sino que los distintos actores encuentren su hueco en cada iniciativa a desarrollar... al menos, es mi punto de vista.
  5. En mi opinión, cuando se habla de avanzar en el planeamiento conjunto de capacidades defensivas y utilizar y desarrollar las posibilidades existentes desde la Agencia Europea de Defensa (AED), no debe olvidar que también deben incluir el ciberespacio a la hora de desarrollar esas capacidades.
  6. Un aspecto sumamente importante es el reconocimiento de que la capacidad de los Estados para resolver problemas globales es cada vez más limitada, por lo que es necesario cooperar con otros Estados y organizaciones internacionales. En este sentido, hay mucho trabajo por hacer, ¿os imagináis que se pudiera establecer un pacto de forma que las Fuerzas y Cuerpos de Seguridad del Estado estuvieran habilitadas para actuar contra cibercriminales que utilizaran servidores en un país extranjero para cometer cualquier tipo de delito contra nuestro país o compatriotas gracias a este tipo de acuerdos?
  7. Al hablar de fortalecer la capacidad de los medios de alerta temprana, de nuevo, no debemos olvidar la dimensión ciber. En este sentido, es necesario trabajar en la coordinación de los distintos CERTs existentes a nivel nacional; en mi opinión, el Estado debe dar un paso adelante en este sentido y dotarse de los medios que garanticen esa coordinación (al margen de que pueden coexistir múltiples centros cada uno con su constituency.
  8. En cuanto a las infraestructuras críticas, hay que darse cuenta de que, aunque es cierto que se está trabajando en este sentido a través del CNPIC, el foco se ha puesto en la prevención de los ataques intencionados (terroristas) pero no se garantiza que tengan sistemas redundantes e independientes de otras tecnologías y operadores. Por tanto, coincido con lo recogido en el plan de ampliar las líneas de acción establecidas en el Plan Nacional de Protección de IICC
  9. Lógicamente me parece perfecto que se invierta más en tecnologías de seguridad y formación de personal especializado pero, dada la situación económica actual, ¿de dónde vamos a sacar los fondos para hacer la dotación presupuestaria correspondiente?
  10. Para finalizar, me ha resultado muy interesante la elaboración de una Estrategia Española de Ciberseguridad como estrategia de segundo nivel destacada.
[Os pido perdón por la longitud de esta entrada]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

14 julio 2011

Guía para cumplir con PCI DSS si usamos virtualización

El pasado 14 de junio, el PCI Council publicaba la segunda versión del suplemento informativo titulado "PCI DSS Virtualization Guidelines" (pdf) elaborado por el grupo de virtualización [como es lógico].

El documento está muy bien trabajado, a mi entender, y recoge los principales aspectos relacionados con esta tecnología. En concreto, la guía incluye:
  • Una descripción a alto nivel de lo que es la virtualización.
  • Cómo la virtualización afecta a la definición del alcance.
  • Los principales riesgos que supone su uso.
  • Recomendaciones a la hora de implantarla, tanto con carácter general, como cuando se mezclan entornos de distintos niveles de riesgo o afectados o no por PCI DSS.
  • Recomendaciones para entornos de computación en la nube.
  • Una pequeña guía para realizar una evaluación de riesgos en entornos virtuales.
  • Y finalmente, un repaso de cómo afecta la virtualización en cada uno de los 12 requerimientos del estándar (anexo).
Como decía, un documento muy bien trabajado, en el que no nos encontramos con grandes sorpresas y del que destacaría lo siguiente:
  • Lógicamente, si cualquier componente virtual está conectado o es parte del CDE (cardholder data environment), entonces el hipervisor también está dentro del alcance, de forma que si es una máquina virtual la que está en el alcance, tanto el sistema que la aloja como el hipervisor también deberían considerarse dentro del alcance.
  • A nivel de riesgos, la virtualización supone una nueva superficie de ataque que hay que considerar, además de añadir cierta complejidad que nos dificultará la implantación de algunas medidas de seguridad. En especial, la mezcla de máquinas virtuales con diferentes niveles de seguridad es un aspecto que tendremos que valorar con mucha cautela para no poner en riesgo nuestros sistemas.
  • En cuanto a las recomendaciones que nos proponen son las de esperar (evaluar los riesgos asociados a su uso, entender el impacto sobre el alcance, utilizar los menores privilegios y la segregación de funciones...), pero quizás habría que hacer énfasis en que incluye, cierta orientación para asegurar el hipervisor y las máquinas y el resto de componentes virtuales.
  • Para lo que denomina entornos mixtos (es decir, donde se mezclan componentes virtuales con diferentes requisitos de seguridad), básicamente, la recomendación es segregar. Pero segregar de verdad, entendiendo que no es tan sencillo como en entornos físicamente separados ya que, en algunos casos, por la propia naturaleza de este tipo de sistemas no será factible y nos veremos abocados a que todo este incluido en el alcance.
  • Respecto a la computación en la nube, el resumen sería depende. Depende del tipo de nube, de los servicios que se utilicen, etc. [muy en línea con el documento que elaboramos en el CSA-ES] En general, lo que nos viene a decir es que hay que definir muy bien quién se encarga de qué en relación a la seguridad (ver tabla al comienzo de esta entrada, también muy parecida a la que hicimos para el CSA-ES, por otra parte) y que recaerá sobre el proveedor esencialmente demostrar que se cumple con los requisitos del estándar puesto que el usuario no tendrá visibilidad sobre muchos elementos de la provisión del servicio, siendo prácticamente imposible en algunas modalidades cumplir (nubes públicas, por ejemplo).
En fin, un documento imprescindible dada la profusión de uso de la virtualización en las arquitecturas actuales.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

02 junio 2011

Las fusiones y la incertidumbre

Hoy he tenido la oportunidad de escuchar a Jaime Anchústegi (CEO de Generali España) en los desayunos que organiza ESADE comentando su experiencia en la fusión de Banco Vitalicio y Seguros La Estrella.

He de reconocer que, al principio, me ha costado seguirlo: Demasiado tiempo hablando sobre Generali... (aunque supongo que es normal en los CEOs; les gusta hablar de "su libro")

Centrándonos en el tema de su experiencia en la fusión, me ha gustado su enfoque pragmático y nada dogmático. No han seguido el manual A o el B, han hecho lo que han considerado que tenían que hacer, lo que era mejor para ellos. Pero, sobre todo, me ha gustado su preocupación porque el proceso de fusión no generara incertidumbre (la incertidumbre provoca desconfianza y la desconfianza mina el compromiso de las personas).

Y sobre todo, me ha gustado que no lo ha contado "sacando pecho", sino como algo que había que hacer. Me explico: El día 0 de la fusión todo el equipo directivo sabía como iba a ser la compañía resultante, su puesto, sus funciones y su equipo... incluso los que no contaban, los que no tenían hueco, les había sido comunicado en una reunión personal con el propio Jaime...

Creo que en estos momentos, ha sido una buena lección para todos aquellos que se encuentran en procesos de este tipo (aunque está claro que no es lo mismo un proceso de fusión cuando uno quiere que cuando está obligado por las circunstancias y el momento viene dado) y que están generando tantísima incertidumbre en sus equipos humanos.

En definitiva, la preparación de la fusión es más larga, pero merece la pena el esfuerzo a cambio de evitar la incertidumbre generalizada en la organización durante el proceso de fusión.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

30 mayo 2011

El cloud computing y el futuro de los profesionales de la seguridad

Hace ya unos días (prácticamente un par de años) que Gartner "asustaba" a todo el sector con su predicción sobre el fin de los departamentos TIC debido al auge de la computación en la nube (ya sabéis, el cloud computing). Pues bien, hace unos días, y con motivo de la publicación del informe 'Cloud Compliance Report' (pdf) del capítulo español de la Cloud Security Alliance (CSA-ES) en el que he tenido la oportunidad de colaborar como editor y co-autor, estuve debatiendo con algunos conocidos sobre el impacto que puede tener la implantación del modelo de computación en la nube en los profesionales de seguridad.

La pregunta era: ¿Vamos a tener más trabajo en el futuro los que nos dedicamos a esto de la seguridad de la información? Básicamente, veo dos fuerzas. Una positiva, derivada del hecho de la creciente importancia de la información y de los negocios en Internet y otra, negativa (o al menos esa es mi opinión) derivada de la adopción de modelos de computación en la nube.

Como no tuve muchos adeptos, voy a tratar de justificar esta última. No es porque lo diga Gartner, pero coincido con ellos. Es decir, para una gran cantidad de empresas que utilizan infraestructuras, plataformas o incluso aplicaciones relativamente estándar, la computación en la nube les aporta indudables ventajas y esto hará que mucha de la capacidad de procesamiento se mueva de pequeños CPDs de estas empresas/organizaciones a los grandes CPDs de los proveedores de servicios en la nube y esto, en mi opinión, ocasionará también una concentración del trabajo de los profesionales de seguridad e, implicitamente, van a existir redundancias, solapes y economías de escala que harán que tengamos menos trabajo (aunque posiblemente, más interesante y de mayor volumen).

No sé, es mi opinión, ¿cómo lo veis vosotr@s?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?